Microsoft parchea un fallo de seguridad crítico que ya se está explotando

Microsoft lanzó ayer seis actualizaciones de seguridad que solucionan un total de once vulnerabilidades en Windows, Internet Explorer, Office y otros varios productos, incluido uno que los atacantes ya están explotando.

La compañía también ha lanzado el primer parche para Windows 8 Consumer Preview, la beta de la próxima versión de Windows que Microsoft lanzó el pasado mes de febrero.

El fallo que los atacantes está aprovechando es una vulnerabilidad de Día Cero relacionada con un control Active X incluido en cada versión de 32-bit de Office 2003, 2007 y 2010; SQL Server, Commerce Server, BizTalk Server, Visual FoxPro y Visual Basic también necesitan el parche.

Los ciberdelincuentes ya están aprovechando el fallo en documentos de texto manipulados que, cuando se abren tanto en Word como en WordPad, pueden terminar con el secuestro del ordenador.

Microsoft no ha ofrecido información acerca de cuándo ha sido la primera vez que se ha aprovecha esta vulnerabilidad, ni qué compañías o cuántos usuarios se han visto afectados. Las actualizaciones de seguridad de Microsoft se producen los segundos martes de cada mes y no es habitual que haya actualizaciones fuera de plazo, por lo que la vulnerabilidad puede haber sido descubierta hace un par de semanas y estar explotándose desde hace más tiempo.

Ocho de las once vulnerabilidades parcheadas ayer fueron calificadas de “críticas” por Microsoft –el nivel más alto de amenaza, otra se consideró “importante” y las otras dos “moderadas”.